Phần mềm độc hại Narilam sửa cơ sở dữ liệu - một công cụ phá hoại các tập đoàn

Nov 26, 2012 9:58 AM EST,By FahmidaY. Rashid

Theo:http://securitywatch.pcmag.com/none/305296-database-modifying-malware-narilam-a-corporate-sabotage-tool

Bài được đưa lênInternet ngày: 26/11/2012

Lờingười dịch: Trích đoạn: “Narilam rất giống các sâumạng khác, khi nó sao chép được bản thân vào các máybị lây nhiễm, bổ sung thêm các khóa đăng ký, và nhângiống bản thân mình qua các ổ tháo lắp được và cácchia sẻ mạng... Một khi các cơ sở dữ liệu bị nhắmđính được tìm ra, Narilam tìm kiếm các đối tượng vàcác bảng đặc thù và hoặc là xóa các bảng hoặc thaythế các khoản bằng các giá trị ngẫu nhiên. Phầnmềm độc hại này “dường như được lập trình đặcbiệt để gây hại cho các dữ liệu nằm bên trong cơ sởdữ liệu bị nhắm đích”... các tác giả của phầnmềm độc hại đó luôn có thể sửa đổi các ví dụđang tồn tại để tấn công các mục tiêu mới. Trongthực tế, Kaspersky Lab đã phát hiện vài biến thể khácvới cùng chức năng và phương pháp nhân bản. Các tậpđoàn càn chắc chắn họ duy trì các bản sao thườngxuyên của các cơ sở dữ liệu và các hệ thống sốngcòn khác để tự bảo vệ họ khỏi dạng các tấn côngnày”. Xem thêm: Symanteccảnh báo phần mềm độc hại nhằm vào các cơ sở dữliệu SQL.

Các nhà nghiên cứuđã phát hiện ra một phần mềm độc hại mới sửa đổicác cơ sở dữ liệu của các tập đòng nhằm vào các hệthống ở Trung Đôgn, nhưng ví dụ dường như là mộtdạng phá hoại các tập đoàn hơn là một vũ khí khônggian mạng ở phạm vi của Stuxnet.

Phần mềm độc hạinày, được phát hiện vào ngày 15/11 và được Symantecđặt tên là W32.Narilam, dường như nhằm vào và sửa đổicác cơ sở dữ liệu của các tập đoàn tại Trung Đông,Shunichi Imano, một nhà nghiên cứu về an ninh củaSymantecs, đã viết trên blog SymantecConnect. Nhìn thoáng qua, Narilam rất giống các sâu mạngkhác, khi nó sao chép được bản thân vào các máy bị lâynhiễm, bổ sung thêm các khóa đăng ký, và nhân giống bảnthân mình qua các ổ tháo lắp được và các chia sẻmạng.

Narilam là “khôngbình thường” vì nó có thể cập nhất cơ sở dữ liệuMicrosoft SQL qua giao thức Liên kết Đối tượng và Cơ sởdữ liệu Nhúng - OLEDB (Object Linking and Embedding Database),Imano nói. Sâu này đặc biệt nhằm vào các cơ sở dữliệu SQL với 3 tiên phân biệt, alim, maliran và shahd. Mộtkhi các cơ sở dữ liệu bị nhắm đính được tìm ra,Narilam tìm kiếm các đối tượng và các bảng đặc thùvà hoặc là xóa các bảng hoặc thay thế các khoản bằngcác giá trị ngẫu nhiên, Imano nói.

Phầnmềm độc hại này “dường như được lập trình đặcbiệt để gây hại cho các dữ liệu nằm bên trong cơ sởdữ liệu bị nhắm đích”, Imano viết.

Researchershave uncovered a new malware that modified corporate databasestargeting Middle East systems, but the sample appears to be a form ofcorporate sabotage rather than a cyber-weapon on the scale ofStuxnet.

Themalware, discovered Nov. 15 and dubbed W32.Narilam by Symantec,appears to be targeting and modifying corporate databases in theMiddle East, Shunichi Imano, a Symantec security researcher, wrote onthe SymantecConnect blog. At first glance, Narilam is very similar to othernetwork worms, as it copies itself onto infected machines, addsregistry keys, and propagates itself through removable drives andnetwork shares.

Narilamis "unusual" because it can up-date Microsoft SQL databasesover the Object Linking and Embedding Database (OLEDB) protocol,Imano said. The worm specifically targets SQL databases with threedistinct names, alim, maliran, and shahd. Once the targeted databasesare found, Narilam looks for specific objects and tables and eitherde-letes the tables or replaces items with random values, Imano said.

Themalware "appears to be programmed specifically to damage thedata held within the targeted database," Imano wrote

HowBig a Threat Is It?

Mối đe dọa lớncỡ nào?

Đống các lây nhiễmtới nay đã được tìm thấy tại Trung Đông, đặc biệttại Iran và Afghanistan, dù các lây nhiễm đã được báocáo có cả tại Mỹ và Anh. Phần mềm độc hại này từngđược tạo ra trong các năm 2009-2010, theo Đội Phân tíchvà Nghiên cứu Toàn cầu của Kaspersky Lab. Trong khi “khoảng80 vụ” đã được ghi nhận trong vòng 2 năm qua, thì thựctế là chỉ 6 vụ lây nhiễm đã được báo cáo trongtháng trước, gợi ý phần mềm độc hại “có lẽ hầunhư tuyệt chủng”, các nhà nghiên cứu đã viết trênSecureList.

Gauss và Flame cũngtừng được phát hiện đầu năm nay nhằm vào các hệthống tại Trung Đông. Tuy nhiên, Narilam dường như khôngcó bất kỳ khả năng ăn cắp thông tin nào. Kaspersky Labđã không thấy bất kỳ “sự liên kết rõ ràng nào”giữa Narilam và Duqu, Stuxnet, Flame và Gauss. Narilam đã đượcphát triển bằng việc sử dụng Boralnd C++ Builder 6, trongkhi những con khác đã sử dụng các phiên bản khác nhaucủa Microsoft Visual C, theo tin trên blog.

Đội Ứng cứu Khẩncấp Máy tính của Iran (Iran CERT) cũng đã cảnh báo đốivới việc so sánh Narilam với Stuxnet, Duqu và Flame trong mộttuyên bố, nói Narilam từng không phải là “một mối đedọa lớn, cũng không là một mẩu phức tạp của phầnmềm độc hại máy tính”. Nó từng trước đó đượctìm thấy trong năm 2010, và dường như có khả năng làmhỏng chỉ cơ sở dữ liệu được đưa vào trong mộtphần mềm kế toán doanh nghiệp nhỏ được một công tykhông tên tuổi của Iran phát triển, CERT nói.

“Bản chất tựnhiên đơn giản của phần mềm độc hại trông rấtgiống một sự thử gây hại cho uy tín của công ty phầnmềm trong các khách hàng của họ”, Iran CERT nói.

Narilam không là “mốiđe dọa cho những người sử dụng thông thường”, theotuyên bố của CERT, nhưng các khách hàng của gói phầnmềm đặc biệt đó nên có các bản sao lưu cơ sở dữliệu của họ và quét các hệ thống của họ với cácsản phẩm chống virus được cập nhật.

Thebulk of the infections thus far have been found in the Middle East,particularly Iran and Afghanistan, although infections have beenreported in the United States and the United Kingdom. The malwareappeared to have been cre-ated between 2009 and 2010, according toKaspersky Lab's Global Research and Analysis Team. While "about80 incidents" have been recorded over the past two years, thefact that just six infections were reported in the past monthsuggests the malware is "probably almost extinct," theresearchers wrote on SecureList.

Gaussand Flame also were discovered earlier this year targeting systems inthe Middle East. However, Narilam does not appear to have anyinformation-stealing capabilities. Kaspersky Lab did not find any"obvious connection" between Narilam and Duqu, Stuxnet,Flame, and Gauss. Narilam was developed using Borland C++ Builder 6,while the others used various versions of Microsoft Visual C,according to the post.

Iran'sComputer Emergency Response Team also warned against comparingNarilam with Stuxnet, Duqu, and Flame in a statement, claimingNarilam was not "a major threat, nor a sophisticated piece ofcomputer malware." It was previously detected in 2010, andappears able to corrupt only the database included in a smallbusiness accounting software developed by an unnamed Iranian company,CERT said.

"Thesimple nature of the malware looks more like a try to harm thesoftware company reputation among their customers," Iran-CERTsaid.

Narilamis "not a threat for general users," according to the CERTstatement, but customers of that particular software package shouldmake backups of their database and scan their systems with up-datedantivirus products.

CorporateSabotage Tool

Công cụ phá hoạicác tập đoàn

Kaspersky Lab đã pháthiện một cảnh báo từ một công ty Iran tên là"TarrahSystem" kêu Narilam từng nhằm vào phần mềmcủa họ. Dường như là Maliran (Các ứng dụng Tài chínhvà Công nghiệp được tích hợp), Amin (phần mềm ngânhàng và vay nợ), và Shahd (phần mềm thương mại/tàichính tích hợp) tất cả là các sản phẩm củaTarrahSystem.

Trong các cơ sở dữliệu được nhắm đích, Narilam tìm các bảng và các đốitưowngj với các tên có liên quan tới tài chính nhưBankCheck, A_Sellers, và buyername. Các từ của Vịnh Persiannhư Pasandaz, (tiết kiệm), Hesabjari (tài khoản hiện hành)R_DetailFactoreForosh (forosh means sale), End_Hesab (hesab meansaccount) và Vamghest (trả vay nợ) cũng nằm trong danh sáchcác khoản mục mà Narilam biết được.

Phần mềm độc hạiđã sửa các đối tượng sau: Asnad.SanadNo (sanad có nghĩalà tài liệu), Asnad.LastNo, Asnad.FirstNo, và Pasandaz.Code,refcheck.amount, và buyername.Buyername. Narilam cũng xóa cácbảng sau: A_Sellers, person, và Kalamast.

“Trừ phi có các bảnsao lưu phù hợp, còn thì cơ sở dữ liệu bị lây nhiễmsẽ khó mà phục hồi được”, Imano của Symantec đãcảnh báo.

Thậm chí nếu ví dụvề phần mềm độc hại đặc biệt này không là mối đedọa chính, thì thực tế vẫn là các tác giả của phầnmềm độc hại đó luôn có thể sửa đổi các ví dụđang tồn tại để tấn công các mục tiêu mới. Trongthực tế, Kaspersky Lab đã phát hiện vài biến thể khácvới cùng chức năng và phương pháp nhân bản. Các tậpđoàn càn chắc chắn họ duy trì các bản sao thườngxuyên của các cơ sở dữ liệu và các hệ thống sốngcòn khác để tự bảo vệ họ khỏi dạng các tấn côngnày.

KasperskyLab uncovered an alert f-rom an Iranian company named "TarrahSystem"claiming Narilam was targeting their software. It appears Maliran(Integrated Financial and Industrial Applications), Amin (Banking andLoans Software), and Shahd (Integrated Financial/Commercial Software)are all TarrahSystem products.

Withinthe targeted databases, Narilam looks for tables and objects withfinancial-related names such as BankCheck, A_Sellers, and buyername.Persian words such as Pasandaz, (savings), Hesabjari (currentaccount) R_DetailFactoreForosh (forosh means sale), End_Hesab (hesabmeans account) and Vamghest (installment loans) are also on the listof terms Narilam recognizes.

Themalware modified the following objects: Asnad.SanadNo (sanad meansdocument), Asnad.LastNo, Asnad.FirstNo, and Pasandaz.Code,refcheck.amount, and buyername.Buyername. Narilam also de-letes thefollowing tables: A_Sellers, person, and Kalamast.

"Unlessappropriate backups are in place, the affected database will bedifficult to restore," Symantec's Imano warned.

Evenif this particular malware sample winds up not being a major threat,the fact remains that malware authors can always modify existingsamples to attack new targets. In fact, Kaspersky Lab uncoveredseveral other variants with the same functionality and method ofreplication. Corporations need to make sure they maintain regularbackups of databases and other critical systems in order to protectthemselves f-rom these kind of attacks.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com